Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A 25-11-2014.

Slides:



Advertisements
Verwante presentaties
mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Advertisements

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Wie beschermt onze privacy?
Informatiebeveiliging
Slim samenwerken Op weg naar de grote doorbraak?
Accreditatierichtlijn beveiliging van bestanden
Aan de slag met de Baseline Informatiehuishouding van Gemeenten
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
22 november 2011 Kwaliteit door meten Josje Everse En hoe de zelfevaluatie daarbij kan helpen…
Hoofdstuk 1 Begripsbepaling AO/BIV
© Kars cum suis bv Benchmarking publiekszaken Workshop Procesmanagement 7 februari 2007.
Introductie OHSAS
Data Maarten Terpstra en Peter le Clerq. 1.Wij denken dat bedrijven in toenemende mate data gebruiken voor toepassingen in marketing, sales, service,
Edukoppeling certificering
{ Workshop 1 Verantwoordelijkheden, procedures, openbaarheid Peter Horsman.
INFORMATIEVEILIGHEID een uitdaging van ons allemaal Themabijeenkomst De Digitale Griffie/Harro Spanninga.
Informatiemanagement
Module I Informatica Dhr. C. Walters. Het belang van informatie Gegevens  Informatie  Besluitvorming Gegevens = Data, Raw Material Informatie = Gegevens.
“Kijken, denken en doen met voor risico”
Hoofdstuk 6 ICT en management h6.
SURF Juridisch normenkader cloudservices
Informatievoorziening Zorg en Ondersteuning Denktank 12 februari 2014.
Keuzes in regionale samenwerking Eerste verkennende regiobijeenkomst declaratieprocessen.
Samenhang jgz - jeugdzorg Workshop RIVM Hilde Kalthoff 13 november 2008.
AD Security project 2 ICTPSC02VX/DX George Pluimakers Schooljaar
Informatiebeveiliging in het onderwijs. Doel 1.Informeren over de rol van Edustandaard ten aanzien van informatiebeveiliging 2.Doorspreken over de rol.
Van samen beschrijven, inkopen naar allemaal gebruiken; de uitdaging op informatie. Samen: alleen als het ons uitkomt!? Theo Peters (KING)VIAG themadag.
Start Inhoud introductie BiSL Informatiesysteem, gegeven Informatiebeleid Positionering: Beheer informatiesystemen BiSL als informatiearchitectuur.
P. van der Terp DienstverleningPlus. 2 Agenda Historisch perspectief Ingreep Overgangsjaar 2007 Historische kosten Vergelijking kosten Filenet.
Gegevensverwerking en Privacy in het Sociaal Domein Een visiedocument om richting te geven aan de lerende praktijk.
Informatiekundige opgave 3D 9 september Informatiekundige opgave 3D Even voorstellen…..
Concept beleidsvisie Informatie Management Gemeente Delft 2012 – 2016 SLIM SAMEN WERKEN, SAMEN SLIMME KEUZES MAKEN.
Juridische kwaliteitszorg Startnotitie door DT akkoord bevonden  organisatiebrede bewustwording van de noodzaak tot het inbedden van juridische kwaliteitszorg.
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Verkenning Informatievoorziening Sociaal Domein Decentralisaties Jeugd, WMO, Participatie Hans Versteeg - VNG Expertmeeting Informatievoorziening GGD-NL.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Certificering van assetmanagement
Reiner Brink Regionaal Coördinatiepunt Fraudebestrijding Zuidoost Nederland.
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
College-onderzoeken naar doelmatigheid en doeltreffendheid o.g.v. art. 213a Gemeentewet Commissie Rekening & Audit 25 november 2014 Besturing & controlling/
15 september 2014 Help, ik heb geen e-depot Workshopleider: Jeroen Jonkers Begeleiding: Margriet van Gorsel.
Jeugdhulp: zo doen we dat in de gemeente Brunssum, samen in Parkstad Limburg én Zuid-Limburg! Presentatie raadsinformatieavond 16 september.
20 januari 2016 – Herman Bongenaar
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
Privacy Sociaal Domein. Voorstel  Vaststellen kadernotitie gegevensdeling & Privacy.
G e m e e n t e H a r d i n x v e l d - G i e s s e n d a m Bijeenkomst Onderzoek Maatschappelijke Agenda (MAG) 1 juni 2016.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Format presentatie raad
In gesprek met de Raad Transitie Jeugdzorg Remko Iedema
Financiële rechtmatigheid
mr. dr. Harm Borgers 14 november 2016
Module Archiefinnovatie no mei 2017
Format Kwartaalrapportage Informatiebeveiliging
Format Presentatie CISO aan gemeentebestuur
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Autoriteit Persoonsgegevens Toezicht onder de AVG
Cliëntenraad Sociaal Domein
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
Bibliotheek, ouderen en sociaal domein Rotterdam, 26 april 2018
Het E-depot van Rotterdam
Privacy en Leerplicht/RMC
BEDRIJFSPRESENTATIE Just Drag & Drop your image directly over placeholder, if image not fit properly then press Reset button from slides ribbon. For more.
Privacy en Leerplicht/RMC
Wat is het programma? Samen met de Omgevingsvisie zijn programma’s de belangrijkste instrumenten voor beleidsontwikkeling Bevat een uitwerking van het.
Algemene verordening Gegevensbescherming AVG
Format Kwartaalrapportage Informatiebeveiliging
Basisinformatie Gegevensmanagement van sectoraal naar integraal
Passende technische en organisatorische beveiliging:
Format Kwartaalrapportage Informatiebeveiliging
Transcript van de presentatie:

Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A

Informatiebeveiligingsbeleid definitie Informatiebeveiliging is het samenhangend geheel van preventieve, repressieve en herstelmaatregelen alsmede procedures en processen welke de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen blijvend garanderen met als doel de continuïteit van de bedrijfsvoering te waarborgen en eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald, niveau te beperken.

Informatiebeveiligingsbeleid kernbegrippen Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers, entiteiten of processen toegang hebben tot informatie en de informatiesystemen op de gewenste momenten.Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers, entiteiten of processen toegang hebben tot informatie en de informatiesystemen op de gewenste momenten. Integriteit; het waarborgen dat de informatie juist en volledig is en de informatiesystemen juiste en volledige informatie opslaan en verwerken.Integriteit; het waarborgen dat de informatie juist en volledig is en de informatiesystemen juiste en volledige informatie opslaan en verwerken. Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor personen, entiteiten of processen die hiertoe bevoegd / geautoriseerd zijn.Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor personen, entiteiten of processen die hiertoe bevoegd / geautoriseerd zijn.

Informatiebeveiligingsbeleid huidige status Nieuwe ontwikkelingen in informatietechnologie en marktaanbod (bijvoorbeeld cloud, SAAS)Nieuwe ontwikkelingen in informatietechnologie en marktaanbod (bijvoorbeeld cloud, SAAS) Nieuwe wetgeving, bijvoorbeeld in het Sociaal DomeinNieuwe wetgeving, bijvoorbeeld in het Sociaal Domein Toenemend belang van informatietechnologie voor werkprocessenToenemend belang van informatietechnologie voor werkprocessen Steeds meer verplichte audits op informatievoorziening, met zwaardere gevolgen bij niet voldoen (DiGiD, Suwinet)Steeds meer verplichte audits op informatievoorziening, met zwaardere gevolgen bij niet voldoen (DiGiD, Suwinet) Aansluiten bij standaard KING / IBDAansluiten bij standaard KING / IBD Herziening van het informatiebeveiligingsbeleid September 2014

Informatiebeveiligingsbeleid uitgangspunten Gebaseerd op de BIG (Baseline Informatiebeveiliging Gemeenten) van IBD / KING als gemeentelijke standaardGebaseerd op de BIG (Baseline Informatiebeveiliging Gemeenten) van IBD / KING als gemeentelijke standaard Bescherming van gegevens staat centraalBescherming van gegevens staat centraal Riskbased:Riskbased: jaarlijkse risico-analyse, gericht op lokale omstandigheden; alleen reële delftse risico’s aanpakken Proportioneel:Proportioneel: lasten (ook de niet financiële belasting) staan in goede verhouding tot de baten (de veiligheidsopbrengst); geen zwaardere maatregelen dan noodzakelijk

Informatiebeveiligingsbeleid governance: de spelers van het spel

Informatiebeveiligingsbeleid Governance: de regels van het spel Strategie Beleid plan Analyse risico’s Incidenten ontwikkelingen Nodige beheersmaatregelen GAP-analyse Wat heb je nu en wat heb je nodig Agenda om nodige maatregelen in te voeren en strategie, beleid en plan bij te stellen

Informatiebeveiligingsbeleid Instrumenten Goede administratieve organisatie:Goede administratieve organisatie: ordentelijk inrichten van processen en systemen, procedures, dataclassificatie, logging, en controles; contractuele borging bij uitbesteding Bevorderen van informatiebewustzijn:Bevorderen van informatiebewustzijn: brede campagne, gerichte workshops voor specifieke domeinen Technische beveiliging:Technische beveiliging: hardware en software up to date, ook bij uitbesteding, aansluiting bij landelijk meldsysteem cyberdreigingen Is het bestaande budget toereikend?

Informatiebeveiligingsbeleid governance: de toezichthouders Informatie manager Security officer EDP auditor

Informatiebeveiligingsbeleid Audits Interimcontrole accountant /EDP auditor (ML)Interimcontrole accountant /EDP auditor (ML) Suwinet inkijkSuwinet inkijk DiGiD assessmentDiGiD assessment BAGBAG GBAGBAStreven: 1 integrale audit op basis van de BIG Stresstest: 1 x per jaar backup and restore

Vragen bijvoorbeeld: 1.3. Het informatiebeveiligingsbeleid en beveiligingsplan zijn goedgekeurd door het management en/of de directie en/of het college van B&W Bij de functiescheiding is het belangrijk dat bij verschillende personen is belegd: Uitvoering van taken (het gebruik van suwinet); Het beheer van autorisaties (toegang verlenen tot suwinet)Het beheer van autorisaties (toegang verlenen tot suwinet) Kwaliteitszorg en borging van rechtmatig gebruik (controle op gebruik van suwinet);Kwaliteitszorg en borging van rechtmatig gebruik (controle op gebruik van suwinet); Management (beslissen over bevoegdheden van functiegroepen, en/of individuele medewerkers, uitdragen belang goed gebruik, bijsturen na oneigenlijk gebruik, optreden na misbruik suwinet).Management (beslissen over bevoegdheden van functiegroepen, en/of individuele medewerkers, uitdragen belang goed gebruik, bijsturen na oneigenlijk gebruik, optreden na misbruik suwinet) Autorisatieprocedure: elke gebruiker van Suwinet moet geautoriseerd worden Controle op toegang en gebruik Informatiebeveiligingsbeleid voorbeeld Suwinet inkijk zelftest

Informatiebeveiligingsbeleid Gemeenschappelijke regelingen, leveranciers en andere samenwerkingspartners Andere organisaties zijn in principe zelf verantwoordelijk voor hun eigen informatiebeveiligingsbeleid Gemeenschappelijke regelingen dienen zelf zorg te dragen voor informatiebeveiliging. De vertegenwoordiger van Delft in het bestuur kan hierop toezienGemeenschappelijke regelingen dienen zelf zorg te dragen voor informatiebeveiliging. De vertegenwoordiger van Delft in het bestuur kan hierop toezien Aan leveranciers wordt via de inkoopvoorwaarden gevraagd om aan te tonen dat ze voldoen aan informatiebeveiligingseisen (TPM e.d.)Aan leveranciers wordt via de inkoopvoorwaarden gevraagd om aan te tonen dat ze voldoen aan informatiebeveiligingseisen (TPM e.d.) Met andere samenwerkingspartners worden convenanten afgesloten met betrekking tot informatiebeveiliging en privacyMet andere samenwerkingspartners worden convenanten afgesloten met betrekking tot informatiebeveiliging en privacy

Informatiebeveiligingsbeleid Informatiebeveiliging en privacy informatiebeveiliging privacy Streven naar integratie Privacy beleid nu uitvoering WBP, straks Europese verordening

Informatiebeveiligingsbeleid privacy Nieuwe europese verordening (concept): Privacy functionarisPrivacy functionaris Procedure Data lekkenProcedure Data lekken Toegang tot eigen persoonsgegevensToegang tot eigen persoonsgegevens Correctie op eigen persoonsgegevensCorrectie op eigen persoonsgegevens Privacy Impact Assessment (PIA)Privacy Impact Assessment (PIA) Er komt een apart stuk over de implementatie Europese verordening Governance lijkt erg op die van Informatiebeveiliging, daarom onderzoek naar mogelijke combinatie

Informatiebeveiligingsbeleid privacy sociaal domein 1.Er zijn en komen geen aparte privacyregels voor het sociaal domein, anders dan al geregeld in WBP (straks europese verordening) en specifieke wetgeving. 2.Privacy is niet puur juridisch maar betreft beleid, governance, werkprocessen, training en communicatie. Net zoals informatiebeveiligingsbeleid. 3.Integraal werken binnen het privacykader moet nog verder ontwikkeld worden. Voorlopig wordt vanuit de verschillende bestaande kolommen gewerkt, met de bijbehorende autorisaties. Dat beperkt het risico. 4.Medische en justitiele gegevens blijven binnen hun eigen kolom en zijn niet toegankelijk voor anderen 5.Borging door inrichting werkprocessen en systemen, bevorderen privacybewustzijn en zo nodig regelgeving.

Informatiebeveiligingsbeleid PIA: voorbeeld uit sociaal domein Type vragen: 1.Governance √ 2.Beleid √ 3.Werkprocessen en triage 4.Opslag en beheer van gegevens 5.Bewustwording en communicatie samenwerkingsovereenkomst met partners, met privacyprotocol